BugTraq: Russian Security Newsline

Tue, 15 May 2012 03:02:10 MSD

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 15.05.2012

Adobe пропатчила Shockwave, Flash, Photoshop, Illustrator
dl // 09.05.12 00:00
Синхронно с Microsoft Adobe выпустила исправления критичных уязвимостей в Adobe Shockwave Player, Adobe Flash Professional CS5.5, Adobe Photoshop CS5.5, Adobe Illustrator CS5.5. Все - потенциально приводящие к исполнению произвольного кода и захвату системы. К сожалению, апдейт приложений из CS включен лишь в CS6 и подразумевает платное обновление.
Источник: ZDNet
обсудить

Также в выпуске:
Adobe все-таки выпустит бесплатные обновления для CS5.x // 14.05.12 11:13
CGI-уязвимость в PHP: второй подход к снаряду // 09.05.12 17:54
Майские обновления от MS // 08.05.12 21:21
Присяжные признали Google частично виновной в нарушении копирайта на Java API // 08.05.12 14:14

Другие обновления на сайте:

BugTraq - обозрение #320 // 09.05.12 02:00
- Adobe пропатчила Shockwave, Flash, Photoshop, Illustrator;
- Майские обновления от MS;
- Присяжные признали Google частично виновной в нарушении копирайта на Java API;
- Февральское обновление Lion раскрыло пользовательские пароли;
- Oracle срочно выпустила бюллетень, посвященный блокировке четырехлетней уязвимости;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Сетевой роман [8.9] 07.11.06 00:12

Самые популярные темы форума за последнюю неделю:

[miscellaneous]
2 Ktirf: Хоть давно и не заглядываешь, поздравляю с днюхой! Желаю успехов во всем, за что бы не брался! [701]
[programming]
[Win32] виснет DialogBoxParam в ActiveX в IE9 [91]
[dnet]
[RC5] А вот почему по второму кругу блоки считаем, кто знает? [79]
[programming]
[Win32] bitmap на диалоговом окне [66]
[site updates]
CGI-уязвимость в PHP: второй подход к снаряду [54]

Самые обсуждаемые темы форума за последнюю неделю:

[programming]
[Win32] виснет DialogBoxParam в ActiveX в IE9
[miscellaneous]
2 Ktirf: Хоть давно и не заглядываешь, поздравляю с днюхой! Желаю успехов во всем, за что бы не брался!
[programming]
[Win32] bitmap на диалоговом окне
[beginners]
WDC WD20EARX-00PASB0 2 Тб стал дико тормозить
[site updates]
CGI-уязвимость в PHP: второй подход к снаряду

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Sun, 06 May 2012 21:31:04 MSD

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 06.05.2012

Опасная и все еще неисправленная восьмилетняя уязвимость в PHP
dl // 04.05.12 17:27
При установке PHP в качестве простого обработчика CGI-запросов (например, с помощью mod_cgid в Apache, в отличие от FastCGI, который не затронут) у атакующего появляется возможность передать интерпретатору различные параметры, приводящие к показу исходников скриптов, исполнению произвольного кода и т.п.

Узнать, подвержена ли ваша версия данной уязвимости, можно путем добавления простой строчки ?-s к url любого php-документа. Если вместо привычной страницы браузер покажет ее исходный код, пора бежать за обновлением.

Обнаружена эта уязвимость была в январе, а появилась еще в 2004 году. PHP Group уже выпустила исправленные версии PHP 5.3.12 и PHP 5.4.2.

Update: как выяснилось, официальное исправление легко обходится.
Источник: InfoWorld
обсудить

Кросс-платформенный троян атакует Java на PC и Mac'ах
dl // 01.05.12 20:50
Обнаруженный троян использует ту же уязвимость в Java, что и Flashback с SabPub, а дальше уже в зависимости от платформы либо втягивает бэкдор, написанный на C++ в случае Windows, либо update.py в случае MacOS.
Источник: ZDNet
обсудить

Также в выпуске:
Февральское обновление Lion раскрыло пользовательские пароли // 06.05.12 20:51
Oracle срочно выпустила бюллетень, посвященный блокировке четырехлетней уязвимости // 01.05.12 21:12
Раскрытие ip-адресов в Skype // 01.05.12 19:24

Другие обновления на сайте:

BugTraq - обозрение #319 // 01.05.12 20:53
- Кросс-платформенный троян атакует Java на PC и Mac'ах;
- Раскрытие ip-адресов в Skype;
- Mozilla убьет Firefox 3.6 в мае;
- Microsoft залатала уязвимость в Hotmail;
- Утечка кода VMware;
- В области безопасности Apple отстала от Microsoft лет на 10;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Сетевой роман [8.9] 07.11.06 00:12

Самые популярные темы форума за последнюю неделю:

[site updates]
Раскрытие ip-адресов в Skype [71]
[site updates]
Кросс-платформенный троян атакует Java на PC и Mac'ах [38]
[site updates]
Опасная и все еще неисправленная восьмилетняя уязвимость в PHP [35]
[site updates]
Oracle срочно выпустила бюллетень, посвященный блокировке четырехлетней уязвимости [32]
[miscellaneous]
В Германии запретили Windows 7 и Xbox [26]

Самые обсуждаемые темы форума за последнюю неделю:

[site updates]
Раскрытие ip-адресов в Skype
[miscellaneous]
Гы) Медиаплеер из Windows 8 не сможет проигрывать DVD
[miscellaneous]
В Германии запретили Windows 7 и Xbox
[programming]
Ничего не понимаю
[site updates]
Кросс-платформенный троян атакует Java на PC и Mac'ах

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Sat, 28 Apr 2012 09:57:04 MSD

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 28.04.2012

Microsoft залатала уязвимость в Hotmail
dl // 27.04.12 19:22
Microsoft тихо залатала уязвимость в Hotmail, позволявшую кому угодно сбрасывать пользовательский пароль. Информация об уязвимости поступила в компанию 20 апреля, исправление вышло в течение нескольких часов. Однако обнаружена она была аж 6 числа, и за эти две недели дело дошло аж до видеоуроков по ее использованию.
Источник: Slashdot
обсудить

DevConf 2012
dl // 26.04.12 14:35
9 и 10 июня в Москве будет проходить профессиональная конференция для веб-программистов DevConf 2012.

В первый день мероприятия запланированы пять конференций, посвященных PHP, Perl, Ruby on Rails, Python и JavaScript. Во второй день посетителей ждут мастер-классы. Среди докладчиков DevConf 2012 такие люди как Дэвид Сориа Парра (David Soria Parra; один из активных разработчиков PHP), Дерик Ретанс (Derick Rethans; активный разработчик MongoDB и PHP), Андрей Аксенов (автор Sphinx), Александр Макаров (один из основных разработчиков PHP-фреймворка Yii), Сергей Петруня (разработчик MariaDB), Илья Алексеев (контрибьютор OpenStack Nova).

Крайний срок подачи заявок на участие в форме мастер-класса и доклада - 5 мая. Для обычных посетителей участие платное, причем плата возрастает по мере приближения к началу конференции.
Источник: DevConf 2012
обсудить

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Wed, 18 Apr 2012 10:03:04 MSD

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 18.04.2012

Квартальное обновление Oracle // 18.04.12 08:58
И еще один маковский троян // 15.04.12 00:25
FireFox будет блокировать автовоспроизведение в плагинах // 14.04.12 01:47
Apple выпустила третье подряд обновление для Java // 13.04.12 04:17
Пятилетняя уязвимость в Samba // 11.04.12 22:12

Другие обновления на сайте:

BugTraq - обозрение #318 // 15.04.12 02:00
- И еще один маковский троян;
- FireFox будет блокировать автовоспроизведение в плагинах;
- Apple выпустила третье подряд обновление для Java;
- Пятилетняя уязвимость в Samba;
- Формально несуществующая уязвимость в Facebook для iOS и Android;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Сетевой роман [8.9] 07.11.06 00:12

Самые популярные темы форума за последнюю неделю:

[dnet]
Россия на первом месте среди пользователей Bitcoin. Ура! :-) [341]
[dnet]
[RC5] APU (AMD Llano) [322]
[dnet]
ТИШИНА!!! [313]
[dnet]
[RC5] HD7970 [204]
[dnet]
Наш "локомотив" прибавил скорости! [191]

Самые обсуждаемые темы форума за последнюю неделю:

[dnet]
[RC5] А вот почему по второму кругу блоки считаем, кто знает?
[dnet]
куда пропадают блоки?
[dnet]
[RC5] APU (AMD Llano)
[site updates]
Пятилетняя уязвимость в Samba
[hardware]
Ловля сигнала окончания разговора в телефонных линиях на просторах Рашии...

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Wed, 11 Apr 2012 02:04:04 MSD

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 11.04.2012

Апрельские обновления от MS
dl // 10.04.12 23:59
Всего 6, из которых 4 критичных и 2 важных. Критичные закрывают удаленное исполнение кода в IE, .NET, Windows Common Controls и обход ограничений безопасности с последующим удаленным исполнением кода при запуске локального специально подготовленного PE-файла. Важные - утечку информации в Forefront Unified Access Gateway и удаленное исполнение кода в Microsoft Office и Microsoft Works.
Источник: Microsoft Security Bulletin Summary
обсудить

Неделя Java
dl // 04.04.12 17:03
Java на этой неделе неплохо напомнила о себе. В понедельник стало известно о тихо устанавливающемся под MacOS трояне, который использует исправленную еще в феврале уязвимость, залатать которую в Apple традиционно не торопились. В результате пользователи "ОС, на которой нет вирусов", сразу получили целый ботнет из полумиллиона участников, а Apple наконец-то выпустила патчи для Mac OS X 10.6.8 Snow Leopard и 10.7.3 Lion.

Практически синхронно Mozilla объявила о блокировке в FireFox Java-плагинов старых версий (вплоть до версий 1.6.0.30 и 1.7.0.2), окончательно перестав надеяться на пользовательские обновления.

Честно говоря, самое разумное, что сейчас можно сделать с Java - заблокировать полностью в постоянно используемом браузере. И если никак без этого не обойтись - выделить под всякие клиент-банки и прочие корпоративные системы, до сих пор остающиеся основным ~~рассадником~~ заповедником java-апплетов на десктопах, какой-нибудь очень отдельный и редко используемый IE x64 (или любой другой столь же нелюбимый браузер). Других причин ее держать я просто не вижу, на вебе этот поезд давно ушел.
Источник: MacWorld, InfoWorld
обсудить

Также в выпуске:
В Flash появилось автообновление // 31.03.12 14:28
Возможная утечка информации о десятке миллионов кредиток // 30.03.12 19:09
Формально несуществующая уязвимость в Facebook для iOS и Android // 06.04.12 03:55

Другие обновления на сайте:

BugTraq - обозрение #317 // 05.04.12 02:00
- Неделя Java;
- В Flash появилось автообновление;
- Возможная утечка информации о десятке миллионов кредиток;
- Странный подарок Samsung Galaxy S/S2 от МТС (обновлено);
- Загадочным языком программирования Duqu был С;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Сетевой роман [8.9] 07.11.06 00:12

Самые популярные темы форума за последнюю неделю:

[site updates]
Неделя Java [82]
[site updates]
Формально несуществующая уязвимость в Facebook для iOS и Android [57]
[site updates]
[lj] дропбоксное [40]
[software]
Есть ли прога, позволяющая перехватывать все файлы, которые качаются из сети. [36]
[humor]
)) [31]

Самые обсуждаемые темы форума за последнюю неделю:

[site updates]
Формально несуществующая уязвимость в Facebook для iOS и Android
[software]
Есть ли прога, позволяющая перехватывать все файлы, которые качаются из сети.
[site updates]
Неделя Java
[site updates]
[lj] дропбоксное
[site updates]
#317

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Tue, 27 Mar 2012 04:54:04 MSD

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 27.03.2012

RDP-уязвимость: 5 миллионов потенциальных жертв
dl // 19.03.12 20:53
Согласно оценке Дэна Камински (Dan Kaminsky), количество потенциальных жертв недавно обнародованной RDP-уязвимости может достигать 5 миллионов. Оценка эта была сделана путем экстраполяции результатов, полученных после сканирования 300 миллионов хостов (8.3% от всего Интернета), среди которых было найдено 415 тысяч, использующих RDP. Естественно, на некоторых из них уже мог быть установлен последний патч, так что реальное число уязвимых хостов несколько меньше.
Источник: ZDNet
обсудить

Мартовские обновления от MS
dl // 14.03.12 00:56
Всего 6, из которых одно критическое и четыре важных. Критическое - удаленное исполнение кода в RDP, важные - удаленное исполнение кода в Microsoft Expression Design, DoS на службу DNS, повышение привилегий при обрабтке оконных сообщений драйверами уровня ядра и в Visual Studio. И оставшееся - DoS в DirectWrite.
Источник: Microsoft Security Bulletin Summary
обсудить

Также в выпуске:
Странный подарок Samsung Galaxy S/S2 от МТС // 27.03.12 04:38
Загадочным языком программирования Duqu был С // 19.03.12 20:12
Опубликован эксплоит для RDP-уязвимости // 19.03.12 16:28

Другие обновления на сайте:

BugTraq - обозрение #316 // 19.03.12 16:38
- Опубликован эксплоит для RDP-уязвимости;
- ЛК нашла следы неизвестного языка программирования;
- Adobe второй раз за 20 дней пропатчила Flash;
- Русский программист поломал GitHub с помощью трехлетней уязвимости;
- Апач прицелился в nginx;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Сетевой роман [8.9] 07.11.06 00:12

Самые популярные темы форума за последнюю неделю:

[site updates]
Загадочным языком программирования Duqu был С [78]
[site updates]
[lj] хозяйке на заметку [38]
[site updates]
[lj] пыленестяжательное [32]
[site updates]
[lj] эндерное [26]
[humor]
Гугль считает Адоб спамером) [22]

Самые обсуждаемые темы форума за последнюю неделю:

[site updates]
[lj] стрелкоосциллографовое
[site updates]
Загадочным языком программирования Duqu был С
[site updates]
[lj] хозяйке на заметку
[site updates]
[lj] пыленестяжательное
[site updates]
[lj] эндерное

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Sat, 10 Mar 2012 11:52:04 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 10.03.2012

Опубликованы исходники Norton Antivirus 2006
dl // 10.03.12 12:47
На The Pirate Bay выложили гигабайтный архив с исходниками различных версий Norton Antivirus 2006. К архиву прилагается записка с призывом к освобождению хакеров LulzSec - за исключением лидера группы, предположительно сдавшего всех ФБР.
Источник: ZDNet
обсудить

Анонимный тинейджер с русским студентом выбрались из гуглевской песочницы
dl // 10.03.12 12:10
В этом году Google решила не спонсировать очередной конкурс Pwn2Own, обнаружив, что правила позволяют участникам скрывать от производителей обнаруженные уязвимости. Вместо этого был объявлен параллельный конкурс Pwnium, участники которого получали от 20 до 60 тысяч долларов в зависимости от серьезности найденной уязвимости, была ли это уязвимость в самом Chrome либо в стороннем плагине (в первую очередь Flash).

Первые 60 тысяч взял русский студент Сергей Глазунов, две уязвимости которого позволили обойти песочницу Chrome, в качестве демонстрации запустив калькулятор на атакуемой машине. Аналогичных результатов в рамках Pwn2Own добилась команда VUPEN, отказавшаяся открыть использованные уязвимости.

И незадолго до окончания конкурса некий "высокий тинейджер в майке, шортах и очках", пожелавший остаться анонимным и взявший псевдоним Pinkie Pie, представил свой комплект из трех уязвимостей, также позволивших выбраться из хромовской песочницы и выполнить произвольный код.

В рамках основного Pwn2Own лидерство захватила VUPEN, на следующий день после Chrome добравшаяся до IE9 и набравшая в сумме 123 очка. Команда Willem & Vincenzo продемонстрировала использование двух уязвимостей в FireFox, набрав 66 очков.
Источник: ZDNet
обсудить

Также в выпуске:
ЛК нашла следы неизвестного языка программирования // 09.03.12 11:52
Adobe второй раз за 20 дней пропатчила Flash // 06.03.12 09:18
Русский программист поломал GitHub с помощью трехлетней уязвимости // 06.03.12 00:11

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Сетевой роман [8.9] 07.11.06 00:12

Самые популярные темы форума за последнюю неделю:

[humor]
)))))) [121]
[programming]
[C++] на 64bit компайлере вот такая поганка [85]
[site updates]
Русский программист поломал GitHub с помощью трехлетней уязвимости [58]
[miscellaneous]
leo, С Днюхой! [41]
[site updates]
[lj] mfcшночудесное [38]

Самые обсуждаемые темы форума за последнюю неделю:

[site updates]
ЛК нашла следы неизвестного языка программирования
[programming]
[C++] на 64bit компайлере вот такая поганка
[site updates]
[lj] долларовесовое
[humor]
))))))
[miscellaneous]
leo, С Днюхой!

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Tue, 21 Feb 2012 22:04:04 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 21.02.2012

Февральские обновления от MS
dl // 14.02.12 23:16
Всего 9, из которых 4 критических. Критические: кумулятивное обновление для IE, удаленное исполнение кода в C Run-Time Library, .NET Framework и Microsoft Silverlight, и в очередной раз - в компонентах ядра, взаимодействующих с GDI. Важные - повышение привилегий в Ancillary Function Driver и Microsoft SharePoint, удаленное исполнение кода в Color Control Panel, Indeo Codec, Microsoft Visio Viewer 2010.
Источник: Microsoft Security Bulletin Summary
обсудить

Взломщики опубликовали код pcAnywhere
dl // 07.02.12 21:37
Хакер YamaTough выложил код pcAnywhere на Pirate Bay после попытки выторговать у Symantec 50 тысяч долларов. В опубликованной переписке взломщик утверждал, что pcAnywhere содержит бэкдоры, позволяющие правительству шпионить за пользователями. В последнем опубликованном сообщении YamaTough дал Symantec 10 минут на то, чтобы отреагировать на угрозу публикации кода pcAnywhere и Norton Antivirus общим объемом в 2 с лишним гигабайта. После того как представитель Symantec потребовал больше времени, первая часть угрозы была выполнена.
Источник: Gizmodo
обсудить

Также в выпуске:
Апач прицелился в nginx // 21.02.12 21:38
Подбор pin-кода в Google Wallet // 11.02.12 13:30
Уязвимость камер TRENDnet открыла свободный доступ к домашнему видео // 08.02.12 00:36

Другие обновления на сайте:

BugTraq - обозрение #315 // 12.02.12 02:00
- Подбор pin-кода в Google Wallet;
- Уязвимость камер TRENDnet открыла свободный доступ к домашнему видео;
- Взломщики опубликовали код pcAnywhere;
- Интеграционное;
- Symantec обнаружила полиморфного андроидного трояна из России;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Don▓t feed forum trolls. Форумные тролли √ паразиты Сети. [8.9] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:

[dnet]
кто то считал на арм процессорах коров? [500]
[dnet]
Наш "локомотив" прибавил скорости! [59]
[dnet]
куда пропадают блоки? [48]
[sysadmin]
может кто сталкивался.. подскажет... [40]
[networking]
Мегафон 3G модем кор╦жит данные? [34]

Самые обсуждаемые темы форума за последнюю неделю:

[networking]
Мегафон 3G модем кор╦жит данные?
[theory]
разбиение неправильного треугольника по сторонам
[miscellaneous]
Fighter, с дн╦хой!
[operating systems]
Есть способ раз и навсегда запретить гребаной семерке группировку файлов в проводнике?
[sysadmin]
может кто сталкивался.. подскажет...

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Tue, 07 Feb 2012 16:54:04 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 07.02.2012

Adobe добавит песочницу в Flash для Firefox
dl // 07.02.12 14:44
Adobe выпустила ознакомительную версию для разработчиков Adobe Flash Player Incubator, включащую поддержку Protected Mode for Mozilla Firefox - песочницу, обеспечивающую выполнение флеш-роликов в изолированной среде. Опираясь на опыт использования песочницы в Reader X, Adobe надеется существенно снизить ущерб пользователей от всевозможных атак через уязвимости в Flash.

Все это работает начиная с Firefox 4 под Vista и Windows 7. Аналогичное решение доступно пользователям Chrome аж с ноября 2010.
Источник: The Register
обсудить

Google все-таки стал проверять приложения из Маркета
dl // 03.02.12 19:50
Google все-таки сдвинулся с места в плане повышения безопасности Маркета. Сегодня он поведал о Bouncer'е - автоматической службе, занимающейся выявлением потенциально опасных приложений. Фактически это серверный антивирус, который уже используется в течение некоторого времени, и во втором полугодии минувшего года случилось снижение загрузок потенциально опасных приложений примерно на 40%.

Хотя ему явно еще есть куда расти.
Источник: InfoWorld
обсудить

Также в выпуске:
Интеграционное // 07.02.12 17:27
Symantec обнаружила полиморфного андроидного трояна из России // 03.02.12 19:36
8 марта у жертв DNSChanger закончится интернет // 03.02.12 12:01

Другие обновления на сайте:

BugTraq - обозрение #314 // 03.02.12 14:09
- 8 марта у жертв DNSChanger закончится интернет;
- Критическая уязвимость в PHP;
- Взлом VeriSign;
- Утечка WiFi-паролей в смартфонах HTC;
- Symantec погорячилась насчет 5 миллионов андроидных жертв;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Don▓t feed forum trolls. Форумные тролли √ паразиты Сети. [8.9] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:

[dnet]
Россия на первом месте среди пользователей Bitcoin. Ура! :-) [164]
[dnet]
кто то считал на арм процессорах коров? [90]
[dnet]
[RC5] HD7970 [87]
[miscellaneous]
Власти Украины разблокировали файлообменник после атак хакеров на правительственные сайты [80]
[site updates]
Критическая уязвимость в PHP [66]

Самые обсуждаемые темы форума за последнюю неделю:

[dnet]
кто то считал на арм процессорах коров?
[dnet]
[RC5] HD7970
[site updates]
Взлом VeriSign
[site updates]
Критическая уязвимость в PHP
[dnet]
Россия на первом месте среди пользователей Bitcoin. Ура! :-)

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Fri, 03 Feb 2012 02:18:04 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 03.02.2012

Критическая уязвимость в PHP
dl // 03.02.12 03:09
Отправка большого количества специально сформированных POST-запросов может привести к вылету php, либо удаленного исполнению кода с правами пользователя, из-под которого был запущен php. Версия 5.3.10 исправляет эту проблему.
Источник: The PHP Group
обсудить

Также в выпуске:
Взлом VeriSign // 02.02.12 20:31
Утечка WiFi-паролей в смартфонах HTC // 02.02.12 16:52
Symantec погорячилась насчет 5 миллионов андроидных жертв // 02.02.12 13:40
Symantec дает отмашку на использование pcAnywhere // 01.02.12 12:58

Другие обновления на сайте:

BugTraq - обозрение #313 // 02.02.12 02:00
- Symantec дает отмашку на использование pcAnywhere;
- Возможное заражение 5 миллионов пользователей Android;
- Symantec просит прекратить пользоваться pcAnywhere;
- Oracle SCN: лучше не стало;
- ФБР прикрыло MegaUpload;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Don▓t feed forum trolls. Форумные тролли √ паразиты Сети. [8.9] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:

[humor]
Не знаю, даже, почему, вспомнил, вдруг, про ╚отличную╩ программу для просмотра почты через сайт. Короче, суть. Это ≈ веб-морда к почте. Создана, похоже, приколистами. Даже прода╦тся по $750. С таким-то названием что огранизации, что самой проги ) [97]
[dnet]
Россия на первом месте среди пользователей Bitcoin. Ура! :-) [96]
[site updates]
Возможное заражение 5 миллионов пользователей Android [74]
[miscellaneous]
Забавно: следующий зарегистрированный пользователь будет юбилейным. Сейчас по статистике их 4095 ) [68]
[software]
Прозрачный squid -- хочу для определ╦нных IP настроить белые списки. [66]

Самые обсуждаемые темы форума за последнюю неделю:

[software]
Прозрачный squid -- хочу для определ╦нных IP настроить белые списки.
[dnet]
Россия на первом месте среди пользователей Bitcoin. Ура! :-)
[miscellaneous]
Забавно: следующий зарегистрированный пользователь будет юбилейным. Сейчас по статистике их 4095 )
[site updates]
Взлом VeriSign
[miscellaneous]
Власти Украины разблокировали файлообменник после атак хакеров на правительственные сайты

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Sat, 28 Jan 2012 09:12:04 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 28.01.2012

Непривязанный джейлбрейк для iPhone 4S/iPad 2 с iOS 5.01
dl // 20.01.12 21:50
Почти через месяц после выхода непривязанного джейлбрейка iOS 5.01 для устройств на старых процессорах подошла очередь и для устройств на A5. The Chronic Dev team выпустила Greenpois0n Absinthe, поддерживающую iPhone 4S с прошивками iOS 5.0, 5.0.1 (9A405 и 9A406) и iPad 2 Wifi/GSM/CDMA с iOS 5.0.1. Чуть позже ожидается и версия для командной строки (в основном для отладочных целей), а после устранения оставшихся багов все это будет включено в привычный redsn0w.

Обещания выхода этого джейлбрейк "в ближайшие дни" периодически озвучивались в течение нескольких недель, но его релиз каждый раз откладывался. Авторы отмечают, что использованная ими схема внедрения ранее никогда не применялась, так что предварительный бэкап крайне рекомендуется.
Источник: Limera1n.cc
обсудить

Также в выпуске:
Возможное заражение 5 миллионов пользователей Android // 28.01.12 10:08
Symantec просит прекратить пользоваться pcAnywhere // 26.01.12 01:27
Oracle SCN: лучше не стало // 24.01.12 11:57
ФБР прикрыло MegaUpload // 20.01.12 08:28

Другие обновления на сайте:

BugTraq - обозрение #312 // 19.01.12 20:43
- Symantec признала взлом своей сети в 2006 году;
- Игровой плагин для Visual Studio;
- Фундаментальная проблема в Oracle;
- Квартальные патчи Oracle: махнула ли компания рукой на безопасность своей базы?;
- Потенциальная массовая кража паролей в LiveJournal;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Don▓t feed forum trolls. Форумные тролли √ паразиты Сети. [8.9] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:

[humor]
Прекрасное о Лаборатории Касперского [358]
[networking]
Можно ли при помощи каких-нить низкоуровневых утилит навроде arping поднять список всех сетевых устройств в локалке, поддерживающих ARP протокол? [107]
[site updates]
ФБР прикрыло MegaUpload [82]
[dnet]
[RC5] HD7970 [45]
[site updates]
Symantec просит прекратить пользоваться pcAnywhere [42]

Самые обсуждаемые темы форума за последнюю неделю:

[site updates]
ФБР прикрыло MegaUpload
[site updates]
Symantec просит прекратить пользоваться pcAnywhere
[miscellaneous]
Забавно: следующий зарегистрированный пользователь будет юбилейным. Сейчас по статистике их 4095 )
[networking]
Можно ли при помощи каких-нить низкоуровневых утилит навроде arping поднять список всех сетевых устройств в локалке, поддерживающих ARP протокол?
[dnet]
[RC5] HD7970

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Thu, 19 Jan 2012 19:46:04 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 19.01.2012

Игровой плагин для Visual Studio
dl // 19.01.12 19:46
Microsoft выпустила плагин, позволяющий разнообразить жизнь в Visual Studio. Теперь можно соревноваться с коллегами непосредственно в процессе кодирования и коллекционировать всякие добрые достижения. Так, бэджик "Go To Hell" дается за использование оператора goto, "Cheater" за вызов меню IntelliTrace 10 раз, "Field Master" за 100 полей в классе и т.п.
Источник: GeekWire, Visual Studio Achievements
обсудить

McAfee приоткрыла дверь спамерам
dl // 19.01.12 18:26
Облачный сервис SaaS for Total Protection от McAfee содержал уязвимость, позволяющую спамерам использовать его в качестве открытого релея. Вторая недавно обнародованная уязвимость (по словам McAfee, ее на самом деле нельзя использовать благодаря августовскому исправлению, направленному на устранение аналогичной уязвимости) позволяла использовать некий ActiveX-контрол для исполнения произвольного кода.
Источник: The Register
обсудить

Также в выпуске:
Symantec признала взлом своей сети в 2006 году // 19.01.12 20:35
Фундаментальная проблема в Oracle // 18.01.12 17:46
Квартальные патчи Oracle: махнула ли компания рукой на безопасность своей базы? // 18.01.12 16:55

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Don▓t feed forum trolls. Форумные тролли √ паразиты Сети. [8.9] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:

[site updates]
Гугль решил защититься от будущих атак на свой https-трафик [277]
[dnet]
AMD наконец-то сподобилась пропатчить драйверы так, чтобы OpenCL на GPU работал при подключении к компу через удал╦нный рабочий стол [237]
[site updates]
Знакомьтесь: проект Namecoin, будущий "убийца" DNS и ведущих CA (центров выдачи сертификатов) [160]
[site updates]
Windows-админам пора отвыкать от GUI [129]
[site updates]
Потенциальная массовая кража паролей в LiveJournal [60]

Самые обсуждаемые темы форума за последнюю неделю:

[site updates]
Windows-админам пора отвыкать от GUI
[software]
Приютил у себя неизвестного спам-бота
[networking]
Можно ли при помощи каких-нить низкоуровневых утилит навроде arping поднять список всех сетевых устройств в локалке, поддерживающих ARP протокол?
[site updates]
Знакомьтесь: проект Namecoin, будущий "убийца" DNS и ведущих CA (центров выдачи сертификатов)
[humor]
Прекрасное о Лаборатории Касперского

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Sun, 15 Jan 2012 12:52:03 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 15.01.2012

Потенциальный массовый взлом LiveJournal
dl // 15.01.12 13:46
Судя по симптомам, произведено внедрение постороннего кода в стили, используемые рядом аккаунтом. В результате при попытке просмотра ленты друзей пользователь получает страницу с характерной синей ljшной шапкой и одинокой формой для логина. В форме в качестве action указан совершенно посторонний адрес. При просмотре кода страницы видно, что оригинальная лента друзей никуда не делась, а просто перекрыта слоем с этой явно фишинговой формой.

Судя по тому, что указанный в форме адрес http://ohtoenequ1.getenjoyment.net/index.php к настоящему моменту уже благополучно прилег, видимо, не выдержав толпы запросов, могло быть собрано очень немало паролей. Всем потенциальным жертвам, разумеется, стоит немедленно сменить пароль, обращая внимание на содержимое адресной строки.
Источник: msado lj
обсудить

Другие обновления на сайте:

BugTraq - обозрение #311 // 13.01.12 20:08
- Windows-админам пора отвыкать от GUI;
- Непривязанный джейлбрейк для iOS 5.01;
- BSOD в Windows 7 с помощью Safari;
- Microsoft принудительно обновит IE6;
- Дырка в Facebook раскрыла приватные фотографии;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Знакомьтесь: проект Namecoin, будущий "убийца" DNS и ведущих CA (центров выдачи сертификатов) [9] 10.01.12 22:50
Space dot com [8.94] 16.04.06 05:26

Самые популярные темы форума за последнюю неделю:

[dnet]
[OGR] Рекомендуется обновиться до 518 клиента [494]
[dnet]
AMD наконец-то сподобилась пропатчить драйверы так, чтобы OpenCL на GPU работал при подключении к компу через удал╦нный рабочий стол [216]
[hardware]
А кто точно знает, SATA2 в SATA3 работает? [147]
[site updates]
Знакомьтесь: проект Namecoin, будущий "убийца" DNS и ведущих CA (центров выдачи сертификатов) [87]
[site updates]
Январьские обновления от MS [53]

Самые обсуждаемые темы форума за последнюю неделю:

[site updates]
Windows-админам пора отвыкать от GUI
[software]
Приютил у себя неизвестного спам-бота
[hardware]
А кто точно знает, SATA2 в SATA3 работает?
[dnet]
[OGR] Рекомендуется обновиться до 518 клиента
[dnet]
AMD наконец-то сподобилась пропатчить драйверы так, чтобы OpenCL на GPU работал при подключении к компу через удал╦нный рабочий стол

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Fri, 13 Jan 2012 20:20:04 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 13.01.2012

С наступающим
dl // 31.12.11 23:59
Традиционно оставляя сайт на недельном новогоднем полуавтопилоте, заранее поздравляю всех присутствующих с наступающим 19 декабря 2764 года ab Urbe condita.

обсудить

Google недоступен для части пользователей
dl // 22.12.11 16:15
Примерно с трех часов у части (российских?) пользователей наблюдаются проблемы с заходом на гуглевские сервисы.

Update: к половине пятого рассосалось.
Источник: Roem.ru, статистика переходов Liveinternet.ru
обсудить

Январьские обновления от MS
dl // 10.01.12 22:45
Не успели (ну ладно, можно считать, успели) закончиться праздники, как подоспели семь новых бюллетеней от MS, один критический и шесть важных. Критическое обновление закрывает уязвимость в Windows Media, приводящую к удаленному исполнению кода при открытии специально подготовленного медиафайла. Важные: обход SafeSEH, удаленное исполнение кода в Windows Object Packager и офисных файлах, содержащих внедренное приложение ClickOnce, эскалация привилегий в Client/Server Run-time Subsystem, утечка информации в SSL/TLS и библиотеке AntiXSS.
Источник: Microsoft Security Bulletin Summary
обсудить

Также в выпуске:
Непривязанный джейлбрейк для iOS 5.01 // 28.12.11 01:15
Windows-админам пора отвыкать от GUI // 13.01.12 20:00

Другие обновления на сайте:

Библиотека::Безопасность // 10.01.12 22:52
Знакомьтесь: проект Namecoin, будущий "убийца" DNS и ведущих CA (центров выдачи сертификатов) // Александр Майборода aka HandleX

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Знакомьтесь: проект Namecoin, будущий "убийца" DNS и ведущих CA (центров выдачи сертификатов) [9] 10.01.12 22:50
Space dot com [8.94] 16.04.06 05:26

Самые популярные темы форума за последнюю неделю:

[dnet]
[OGR] Рекомендуется обновиться до 518 клиента [480]
[dnet]
AMD наконец-то сподобилась пропатчить драйверы так, чтобы OpenCL на GPU работал при подключении к компу через удал╦нный рабочий стол [188]
[hardware]
А кто точно знает, SATA2 в SATA3 работает? [40]
[site updates]
Знакомьтесь: проект Namecoin, будущий "убийца" DNS и ведущих CA (центров выдачи сертификатов) [34]
[guestbook]
Не могу сделать пост с вложением в misc. [33]

Самые обсуждаемые темы форума за последнюю неделю:

[hardware]
А кто точно знает, SATA2 в SATA3 работает?
[guestbook]
Не могу сделать пост с вложением в misc.
[dnet]
[OGR] Рекомендуется обновиться до 518 клиента
[dnet]
AMD наконец-то сподобилась пропатчить драйверы так, чтобы OpenCL на GPU работал при подключении к компу через удал╦нный рабочий стол
[site updates]
Январьские обновления от MS

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/

BugTraq: Russian Security Newsline

Thu, 22 Dec 2011 01:03:08 MSK

BugTraq.Ru

Обсуждение
Архив выпусков
Библиотека
Форум

Каналы для WatzNew:
Новости сайта
Russian Security Newsline

Russian Security Newsline 22.12.2011

Декабрьские обновления от MS
dl // 14.12.11 00:01
13 обновлений, из которых 3 критических. Критические: очередное исправление драйвера TrueType-шрифтов, кумулятивное обновление Kill Bits для ActiveX, устранение удаленного исполнения кода в Windows Media Player и Windows Media Center. Важные: кумулятивное обновление IE, устранение удаленного исполнения кода в китайском и нормальном Офисе, Publisher, PowerPoint, Excel, OLE, Active Directory, повышения привилегий в Client/Server Run-time Subsystem и ядре.
Источник: Microsoft Security Bulletin Summary
обсудить

Adobe Reader zero-day
dl // 07.12.11 11:30
Adobe подтвердила существование очередной и уже используемой уязвимости в Reader, пообещав исправление до конца этой недели. Предположительно, атаки, ее использующие, были направлены на крупных американских военных поставщиков - Adobe официально поблагодарила команды безопасности Lockheed Martin и MITRE (организация, управляющая рядом исследовательских центров, финансируемых правительством).
Источник: InfoWorld
обсудить

Дырка в Facebook раскрыла приватные фотографии
dl // 07.12.11 01:39
Опубликованная в понедельник пошаговая инструкция позволила всем желающим добраться до приватных пользовательских фотографий в Facebook. Любопытно, что под раздачу попал и сам основатель фейсбука Цукерберг. 13 утянутых с его аккаунта фотографий были опубликованы под заголовком "It's time to fix those security flaws Facebook...".
Источник: The Register
обсудить

Также в выпуске:
BSOD в Windows 7 с помощью Safari // 21.12.11 17:03
Microsoft принудительно обновит IE6 // 16.12.11 00:27

Другие обновления на сайте:

Библиотека::Криптография // 06.12.11 16:04
Обновление статьи: Основы защиты данных от разрушения. Коды Рида-Соломона. // Рахман П.А.

BugTraq - обозрение #310 // 24.11.11 02:00
- Гугль решил защититься от будущих атак на свой https-трафик;
- Исследователи из Microsoft и Корнелла считают, что нашли принципиальную уязвимость в Bitcoin;
- FireFox 8;
- Гуглеплюсное;
- Анонимнородительское;

Третья пятерка из рейтинга статей:

В Финляндии с интернет-зависимостью не берут в армию [9.19] 04.08.04 03:17
Тестер. Часть 3 [9.15] 04.02.06 02:23
Проверка целостности установленной linux-системы перед использованием [9.15] 21.08.03 19:47
Space dot com [8.94] 16.04.06 05:26
Don▓t feed forum trolls. Форумные тролли √ паразиты Сети. [8.9] 28.03.07 00:34

Самые популярные темы форума за последнюю неделю:

[dnet]
[RC5] ATI FirePro - Professional Graphics [75]
[site updates]
Microsoft принудительно обновит IE6 [75]
[programming]
AtlWaitWithMessageLoop [46]
[miscellaneous]
Народ, аська у всех работает? [44]
[humor]
Хотите узнать, какого пола ваш компьютер? [34]

Самые обсуждаемые темы форума за последнюю неделю:

[programming]
AtlWaitWithMessageLoop
[miscellaneous]
Народ, аська у всех работает?
[humor]
Хотите узнать, какого пола ваш компьютер?
[site updates]
BSOD в Windows 7 с помощью Safari
[dnet]
[RC5] ATI FirePro - Professional Graphics

Ведущий рассылки:
Дмитрий Леонов, http://bugtraq.ru/